Hlavičky antispamových zpráv v Microsoftu 365
Tip
Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Ve všech organizacích Microsoft 365 kontroluje Exchange Online Protection (EOP) ve všech příchozích zprávách spam, malware a další hrozby. Výsledky těchto kontrol se přidají do následujících polí záhlaví ve zprávách:
- X-Forefront-Antispam-Report: Obsahuje informace o zprávě a o tom, jak byla zpracována.
- X-Microsoft-Antispam: Obsahuje další informace o hromadné poště a phishingu.
- Výsledky ověřování: Obsahuje informace o výsledcích ověřování SPF, DKIM a DMARC (e-mailové ověřování).
Tento článek popisuje, co je v těchto polích záhlaví dostupné.
Informace o tom, jak zobrazit záhlaví e-mailové zprávy v různých e-mailových klientech, najdete v článku Zobrazení záhlaví internetových zpráv v Outlooku.
Tip
Obsah záhlaví zprávy můžete zkopírovat a vložit do nástroje Analyzátor hlaviček zpráv . Tento nástroj pomáhá analyzovat záhlaví a dát je do čitelnějšího formátu.
Pole záhlaví zprávy X-Forefront-Antispam-Report
Jakmile budete mít informace o záhlaví zprávy, vyhledejte záhlaví X-Forefront-Antispam-Report . V této hlavičce je několik dvojic polí a hodnot oddělených středníky (;). Příklady:
...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...
Jednotlivá pole a hodnoty jsou popsány v následující tabulce.
Poznámka
Hlavička X-Forefront-Antispam-Report obsahuje mnoho různých polí a hodnot. Pole, která nejsou popsaná v tabulce, používají výhradně antispamový tým Microsoftu pro diagnostické účely.
:----- | Popis |
---|---|
ARC |
Protokol ARC obsahuje následující pole:
|
CAT: |
Kategorie zásad ochrany, která se použije pro zprávu:
*pouze Defender pro Office 365. Příchozí zpráva může být označena několika formami ochrany a několika detekčními kontrolami. Zásady se použijí v pořadí podle priority a jako první se použije zásada s nejvyšší prioritou. Další informace najdete v tématu Jaké zásady platí, když se v e-mailu spustí více metod ochrany a kontrol detekce. |
CIP:[IP address] |
Připojující se IP adresa. Tuto IP adresu můžete použít v seznamu povolených IP adres nebo v seznamu blokovaných IP adres. Další informace najdete v tématu Konfigurace filtrování připojení. |
CTRY |
Zdrojová země nebo oblast určená připojující se IP adresou, která nemusí být stejná jako původní odesílající IP adresa. |
DIR |
Směrovost zprávy:
|
H:[helostring] |
Řetězec HELO nebo EHLO připojujícího se e-mailového serveru. |
IPV:CAL |
Zpráva přeskočila filtrování spamu, protože zdrojová IP adresa byla v seznamu povolených IP adres. Další informace najdete v tématu Konfigurace filtrování připojení. |
IPV:NLI |
IP adresa nebyla nalezena v žádném seznamu reputace IP adres. |
LANG |
Jazyk, ve kterém byla zpráva napsána, jak je určeno kódem země (například ru_RU pro ruštinu). |
PTR:[ReverseDNS] |
Záznam PTR (označovaný také jako reverzní vyhledávání DNS) zdrojové IP adresy. |
SCL |
Úroveň spolehlivosti spamu (SCL) zprávy. Vyšší hodnota znamená, že zpráva s větší pravděpodobností bude spam. Další informace najdete v tématu Úroveň spolehlivosti spamu (SCL). |
SFTY |
Zpráva byla identifikována jako phishing a je také označena jednou z následujících hodnot:
|
SFV:BLK |
Filtrování bylo vynecháno a zpráva byla zablokovaná, protože byla odeslána z adresy v seznamu blokovaných odesílatelů uživatele. Další informace o tom, jak můžou správci spravovat seznam blokovaných odesílatelů uživatele, najdete v tématu Konfigurace nastavení nevyžádané pošty u Exchange Online poštovních schránek. |
SFV:NSPM |
Filtrování spamu označilo zprávu jako nonspam a zpráva byla odeslána zamýšleným příjemcům. |
SFV:SFE |
Filtrování bylo vynecháno a zpráva byla povolena, protože byla odeslána z adresy v seznamu bezpečných odesílatelů uživatele. Další informace o tom, jak můžou správci spravovat seznam bezpečných odesílatelů uživatele, najdete v tématu Konfigurace nastavení nevyžádané pošty u Exchange Online poštovních schránek. |
SFV:SKA |
Zpráva přeskočila filtrování spamu a byla doručena do složky Doručená pošta, protože odesílatel byl v seznamu povolených odesílatelů nebo povolených domén v zásadách ochrany proti spamu. Další informace najdete v tématu Konfigurace zásad ochrany proti spamu. |
SFV:SKB |
Zpráva byla označena jako spam, protože odpovídala odesílateli v seznamu blokovaných odesílatelů nebo seznamu blokovaných domén v zásadách ochrany proti spamu. Další informace najdete v tématu Konfigurace zásad ochrany proti spamu. |
SFV:SKN |
Zpráva byla před zpracováním filtrováním spamu označena jako nonspam. Například zpráva byla označena jako SCL -1 nebo Vynechat filtrování spamu pravidlem toku pošty. |
SFV:SKQ |
Zpráva byla uvolněna z karantény a byla odeslána zamýšleným příjemcům. |
SFV:SKS |
Zpráva byla před zpracováním filtrováním spamu označena jako spam. Například zpráva byla označena jako SCL 5 až 9 pravidlem toku pošty. |
SFV:SPM |
Zpráva byla označena jako spam filtrováním spamu. |
SRV:BULK |
Zpráva byla identifikována jako hromadný e-mail pomocí filtrování spamu a prahové hodnoty úrovně hromadné stížnosti (BCL). Pokud je On parametr MarkAsSpamBulkMail (ve výchozím nastavení zapnutý), hromadná e-mailová zpráva se označí jako spam (SCL 6). Další informace najdete v tématu Konfigurace zásad ochrany proti spamu. |
X-CustomSpam: [ASFOption] |
Zpráva odpovídala nastavení rozšířeného filtru spamu (ASF). Pokud chcete zobrazit hodnotu záhlaví X pro každé nastavení ASF, přečtěte si téma Nastavení rozšířeného filtru spamu (ASF). Poznámka: ASF přidá X-CustomSpam: do zpráv pole záhlaví X poté , co byly zprávy zpracovány pravidly toku pošty Exchange (označované také jako pravidla přenosu), takže nemůžete použít pravidla toku pošty k identifikaci a zpracování zpráv filtrovaných pomocí ASF. |
Pole záhlaví zprávy X-Microsoft-Antispam
Následující tabulka popisuje užitečná pole v záhlaví zprávy X-Microsoft-Antispam . Ostatní pole v této hlavičce používá výhradně antispamový tým Microsoftu pro diagnostické účely.
:----- | Popis |
---|---|
BCL |
Úroveň hromadné stížnosti (BCL) zprávy. Vyšší seznam BCL znamená, že hromadná e-mailová zpráva s větší pravděpodobností generuje stížnosti (a proto je pravděpodobnější, že se jedná o spam). Další informace najdete v tématu Úroveň hromadné stížnosti (BCL) v EOP. |
Hlavička zprávy s výsledky ověřování
Výsledky kontrol ověřování e-mailů pro SPF, DKIM a DMARC se zaznamenávají (orazítkují) v záhlaví zprávy s výsledky ověřování v příchozích zprávách. Hlavička Výsledky ověřování je definována v DOKUMENTU RFC 7001.
Následující seznam popisuje text přidaný do hlavičky Authentication-Results pro každý typ kontroly ověřování e-mailu:
SPF používá následující syntaxi:
spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
Příklady:
spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
DKIM používá následující syntaxi:
dkim=<pass|fail (reason)|none> header.d=<domain>
Příklady:
dkim=pass (signature was verified) header.d=contoso.com dkim=fail (body hash did not verify) header.d=contoso.com
DMARC používá následující syntaxi:
dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
Příklady:
dmarc=pass action=none header.from=contoso.com dmarc=bestguesspass action=none header.from=contoso.com dmarc=fail action=none header.from=contoso.com dmarc=fail action=oreject header.from=contoso.com
Pole záhlaví zpráv s výsledky ověřování
Následující tabulka popisuje pole a možné hodnoty pro každou kontrolu ověřování e-mailu.
:----- | Popis |
---|---|
action |
Označuje akci prováděnou filtrem spamu na základě výsledků kontroly DMARC. Příklady:
|
compauth |
Výsledek složené ověřování Používá microsoft 365 ke kombinování více typů ověřování (SPF, DKIM a DMARC) nebo jakékoli jiné části zprávy k určení, jestli je zpráva ověřená. Používá doménu From: jako základ vyhodnocení.
Poznámka: I přes compauth selhání může být zpráva stále povolená, pokud jiná hodnocení nenaznačují podezřelou povahu. |
dkim |
Popisuje výsledky kontroly DKIM pro zprávu. Mezi možné hodnoty patří:
|
dmarc |
Popisuje výsledky kontroly DMARC pro zprávu. Mezi možné hodnoty patří:
|
header.d |
Doména identifikovaná v podpisu DKIM, pokud existuje. Jedná se o doménu, která se dotazuje na veřejný klíč. |
header.from |
Doména 5322.From adresy v záhlaví e-mailové zprávy (označuje se také jako adresa odesílatele nebo odesílatel P2). Příjemce uvidí v e-mailových klientech adresu Odesílatele. |
reason |
Důvod, proč složené ověřování proběhlo úspěšně nebo selhalo Hodnota je třímístný kód. Příklady:
|
smtp.mailfrom |
Doména 5321.MailFrom adresy (označuje se také jako adresa MAIL FROM, odesílatel P1 nebo odesílatel obálky). Tato e-mailová adresa se používá pro oznámení o nedoručení (označovaná také jako oznámení o nedoručení nebo nedoručitelnosti). |
spf |
Popisuje výsledky kontroly SPF pro zprávu. Mezi možné hodnoty patří:
|